Da der Internet-Sicherheit Die Bedrohungslandschaft entwickelt sich ebenso wie die Art und Weise, wie wir diese Bedrohungen betrachten müssen. Der Trommelschlag neuer Verstöße ist ununterbrochen. Wenn Sie die Nachrichten lesen, werden Sie zu der Annahme gebracht, dass es nur eine wichtige Taktik gibt, die die Angreifer in einer anwenden INCIDENT gegen ihre Ziele. Das ist einfach nicht der Fall, und wir brauchen eine neue Art, diese Ereignisse zu beschreiben und zu verfolgen.
Die ALERT , EVENT müssen klar definiert werden. Heute SOC Teams nutzen viele verschiedene Technologien zur Bedrohungserkennung. Viele große Kunden setzen in ihrer mehrschichtigen Sicherheitsarchitektur 30 oder mehr Sicherheitstechnologien ein. Jede dieser Technologien generiert ihre eigenen spezifischen Warnmeldungen. Es ist die Aufgabe des SOC Analytiker um diese einzelnen Warnungen zu überprüfen und sie zu korrelieren und zu kombinieren EVENTS. Es braucht einen erfahrenen Analysten, um Regeln zu schreiben, um die verschiedenen zu verbinden BENACHRICHTIGUNGEN sie sehen hinein EVENTS oder um eine große Anzahl derselben ALERTS für ein einzelnes EVENT zu deduplizieren.
Angreifer wissen, dass dies ein manueller und zeitaufwändiger Prozess ist. Sie nutzen verschiedene Taktiken, um die Angreifer zu überfordern. SOC Analysten mit BENACHRICHTIGUNGEN von ihren Sicherheitstools. Beispielsweise kann der Angreifer einen bekannten Exploit nutzen, um zahlreiche IDS-Ereignisse zu generieren. Wenn sie erfolgreich sind, schafft dies eine große Ablenkung für die SOC Team.
Während sie sich mit diesen IDS-Ereignissen befassen, haben die Angreifer möglicherweise bereits durch eine Brute-Force-Anmeldung bei einem ihrer kritischen Server Fuß in der Umgebung gefasst. Als nächstes können sie das interne Netzwerk von diesem kritischen Server aus scannen. Wenn sie einen anderen Server in der Umgebung mit kritischen Daten in einer SQL-Datenbank finden, können sie diesen gefährden und einen SQL-Dump-Befehl ausführen. Dadurch wird der gesamte Inhalt der Datenbank in eine Datei eingefügt, die in dem von ihnen erstellten DNS-Tunnel an eine externe IP-Adresse weitergeleitet werden kann.
Dies ist ein sehr einfaches Beispiel dafür, was in einem passiert INCIDENT. Mehrere Ereignisse müssen mit dem Vorfall korreliert werden. Hier ist eine einfache Hierarchie:
Angesichts der schieren Anzahl an Warnmeldungen müssen wir prüfen, wie wir Technologie zur Unterstützung der Klassifizierung und Korrelation nutzen können, um die Effektivität der SOCKünstliche Intelligenz und maschinelles Lernen, die auf diesen Datensatz angewendet werden, können sehr leistungsfähige Werkzeuge sein.
- Überwachtes maschinelles Lernen - in der Lage, zuvor nicht identifizierte Dateien, Domainnamen und URLs zu erkennen. Dies sind die Daten, die üblicherweise in gefunden werden BENACHRICHTIGUNGEN.
- Unüberwachtes maschinelles Lernen - entwickelt Basislinien für normales Verhalten für Netzwerke, Geräte und Benutzer. Dies kann EREIGNISSE innerhalb des Kundennetzwerks durch Korrelieren und Kombinieren erkennen BENACHRICHTIGUNGEN.
- Tiefes maschinelles Lernen - untersucht die Bedrohungslandschaft in der gesamten Umgebung und sucht nach Verbindungen. Kann korrelieren EVENTS in Vorfälle.
Das Maschinelles Lernen kann auch helfen, ein Ereignis oder einen Vorfall zu bewerten. Wenn die Sicherheitsanalysten offene Vorfälle überprüfen, können sie den Vorfall mit der höchsten Priorität auswählen und sofort reagieren.
Richtig eingesetzt haben sie das Potenzial, verbundene Bedrohungen schneller zu identifizieren SOC Analysten können sich auf die Korrektur konzentrieren, anstatt Warnungen für die Erkennung zu korrelieren, und dabei von einer reaktiven zu einer proaktiven Haltung übergehen.
